网站页面footer的copy,上海易雅达网站建设公司怎么样,国外有什么网站做游戏,yy直播Day65-企业级防火墙iptables精讲1 补充#xff1a;1.什么是防火墙#xff1f;2.防火墙种类2.1 商用防火墙介绍2.2 Linux下防火墙介绍 3.选择何种防火墙#xff1f;4.企业级架构最佳防火墙场景5.学好iptables的技术栈基础6.Iptables是什么#xff1f;7.Iptables企业常用场景… Day65-企业级防火墙iptables精讲1 补充1.什么是防火墙2.防火墙种类2.1 商用防火墙介绍2.2 Linux下防火墙介绍 3.选择何种防火墙4.企业级架构最佳防火墙场景5.学好iptables的技术栈基础6.Iptables是什么7.Iptables企业常用场景8.Iptables工作流程9.iptables的表(tables)和链(chains)10.iptables工作原理见图11.iptables实践12.安装iptables web0113.启动和查看iptables状态14.检查内核模块15.iptables命令使用15.1 需求1禁止所有主机访问22端口15.2 需求2禁止对10.0.0.1vnet8访问15.3 需求3只允许办公网的IP段访问服务器SSH。15.4 需求4封单个IP15.5 需求5自己的人可以ping其他人不能ping15.6 需求6让10.0.0.7和SSH客户端10.0.0.1服务器可以Ping其它的不能Ping 16. 企业级防护墙项目部署一个最安全的企业级防火墙案例17. 生产场景维护iptables 补充
1.部署bbs产品www.discuz.net URL实现伪静态理解rewrite规则。
# 论坛主题列表页 {fid}, {page} forum-{fid}-{page}.html# 帖子列表页
http://bbs.etiantian.org/forum.php?modforumdisplayfid2# 伪静态
http://bbs.etiantian.org/forum-2-1.html
rewrite ^([^\.]*)/forum-(\w)-([0-9])\.html$ # \w 任意单词字符 [_0-9a-zA-Z]$1/forum.php?modforumdisplayfid$2page$3 last;
http://bbs.etiantian.org/forum.php?modforumdisplayfid2page1# 帖子页
http://bbs.etiantian.org/forum.php?modviewthreadtid1extrapage%3D1# 论坛主题内容页 {tid}, {page}, {prevpage} thread-{tid}-{page}-{prevpage}.htmlhttp://bbs.etiantian.org/thread-1-1-1.html
rewrite ^([^\.]*)/thread-([0-9])-([0-9])-([0-9])\.html$ $1/forum.php?modviewthreadtid$2extrapage%3D$4page$3
http://bbs.etiantian.org/forum.php?modviewthreadtid1extrapage%3D1page1rewrite ^([^\.]*)/forum-(\w)-([0-9])\.html$ $1/forum.php?modforumdisplayfid$2page$3 last;
rewrite ^([^\.]*)/thread-([0-9])-([0-9])-([0-9])\.html$ $1/forum.php?modviewthreadtid$2extrapage%3D$4page$3 last;
if (!-e $request_filename) {return 404;
}链接: http://www.netfilter.org/projects/iptables/index.html iptables哲学 学习防火墙的最高境界就是不使用防火墙服务器还能更安全 ——老男孩 使用iptables的最高境界永远都不使用哲学 1)服务器不给外网IP。 2)大并发网站不开Iptables,使用硬件防火墙。
1.什么是防火墙
放在企业网站或应用的前部用来阻挡异常攻击、渗透保护企业网站或应用的安全
2.防火墙种类
2.1 商用防火墙介绍
华为 深信服 思科 H3C Juniper 天融信 飞塔 网康 绿盟科技 金盾
2.2 Linux下防火墙介绍
ipfwadmipchains是iptables祖先。 iptables火了20年。。 firewalld
3.选择何种防火墙
有条件选择硬件无疑 iptables和firewalld
4.企业级架构最佳防火墙场景
架构在网站最前端上联口交换机前。
5.学好iptables的技术栈基础
1.OSI7层模型以及不同层对应常用协议? 2.熟练掌握TCP/IP三次握手四次断开原理。 3.熟悉TCP头及11种状态转换。 4.熟练掌握OSI7层模型封包解包流程。 5.熟练掌握局域网通信原理及广域网通信原理。 6.常用的服务端口要了如指掌。 推荐阅读【tcp/ip协议卷1】
6.Iptables是什么
是Linux下自带C7以前的开源的一款免费的基于包过滤的防火墙工具 可以对流入、流出、流经服务器的数据包进行精细的控制 Iptables主要工作在OSI七层的二、三、四层如果重新编译内核 Iptables也可以支持7层控制(squid代理iptables)。
7.Iptables企业常用场景
1、场景1做主机防火墙功能filter表的INPUT链。 2、场景2局域网共享上网做网关(nat表的POSTROUTING链)。半个路由器NAT功能zebrasquid。 3、场景3端口及IP映射(nat表的PREROUTING链)硬防的NAT功能。 4、场景4实现IP一对一映射DMZ。
8.Iptables工作流程
iptables是采用数据包过滤机制工作的所以它会对请求的数据包的包头数据进行分析并根据我们预先设定的规则进行匹配来决定是否可以进入主机。
iptables工作流程小结 1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下从前到后进行过滤的。 2、如果匹配上了规则即明确表明是阻止还是通过此时数据包就不在向下匹配新规则了。 3、如果所有规则中没有明确表明是阻止还是通过这个数据包也就是没有匹配上规则向下进行匹配 直到匹配默认规则得到明确的阻止还是通过。 4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的最后执行的规则。 问题有人恶意刷网站如何封IP
9.iptables的表(tables)和链(chains)
链对进、出、经过起一个称呼区别下就叫表 表按照功能区分起一个称呼
包含关系 iptables用户空间netfilter内核空间 4个表(tables)5个链(chains)规则policy
5表 filter作用主机防火墙 iptables默认的表。***** nat作用端口或IP映射或共享上网***** mangle配置路由标记ttl\tos\mark忽略 raw忽略 security:忽略
不同的表包含的链 filterINPUT,OUTPUTFORWARD ***** NATPOSTROUTINGPREROUTINGOUTPUT ***** mangleINPUTOUTPUTFORWARDPOSTROUTINGPREROUTING raw忽略 security:忽略 帮助man iptables
链 *INPUT进入主机的数据包。主机防火墙filter表的INPUT链 OUTPUT流出主机的数据包。 FORWARD流经主机的数据包。
*PREROUTING进入服务器最先经过的链NAT端口或IP映射导向。(nat表的PREROUTING链) *POSTROUTING在流出服务器最后经过的链NAT共享上网。局域网共享上网(nat表的POSTROUTING链)
面试题精通4表5链及工作原理流程
10.iptables工作原理见图
Centos6 iptables Centos7 firewalld用的很少 11.iptables实践
链接: https://www.cnblogs.com/fengzhilaoling/p/12454424.html iptables是Linux下自带的一款免费的基于包过滤的防火墙工具 可以对流入、流出、流经服务的数据包进行精细的控制而在centos7中将iptables给取消掉了我们需要自行安装
12.安装iptables web01
1)关闭selinux 不关闭selinuxiptables不读取配置文件
# 临时关闭selinux
setenforce 0# 查看selinuxgetenforce
## Permissive# 永久关闭
sed -i s#SELINUXenforcing#SELINUXdisabled#g /etc/selinux/config #修改完成后需要重启才能生效2)关闭firewalld并关闭开机自启 centos7中默认的防火墙是firewalld使用iptables需要先关闭firewalld防火墙
#关闭防火墙
systemctl stop firewalld#关闭开机自启
systemctl disable firewalld#查看防火墙状态
systemctl status firewalld3)安装iptables
rpm -qa iptables iptables-services
yum install iptables-services -y[rootweb01 ~]# rpm -qa iptables iptables-services
iptables-services-1.4.21-35.el7.x86_64
iptables-1.4.21-35.el7.x86_6413.启动和查看iptables状态
[rootweb01 ~]# systemctl start iptables
[rootweb01 ~]# systemctl enable iptables
[rootweb01 ~]# cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMITiptables -L -n 或iptables -L -n -v -x 查看启动状态命令
iptables -nL --line-number
-n #以数字的形式显示规则
-L #列表链里的所有规则--line-number #打印规则序号
-t 指定表(default: filter)14.检查内核模块
lsmod |egrep nat|filter|ip
[rootweb01 ~]# lsmod |egrep nat|filter|ip
ipt_REJECT 12541 0
nf_reject_ipv4 13373 1 ipt_REJECT
nf_conntrack_ipv4 19149 0
nf_defrag_ipv4 12729 1 nf_conntrack_ipv4
nf_conntrack 143411 2 xt_conntrack,nf_conntrack_ipv4
iptable_filter 12810 0
ip_tables 27126 1 iptable_filter[rootweb02 ~]# lsmod |grep ip
ip_tables 27126 0 ###真正处理规则的。加载如下模块到linux内核
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state[rootweb01 ~]# cat /etc/rc.local
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state[rootweb01 ~]# lsmod |egrep nat|filter|ipt
nf_nat_ftp 12809 0
nf_conntrack_ftp 18478 1 nf_nat_ftp
iptable_nat 12875 0
nf_nat_ipv4 14115 1 iptable_nat
nf_nat 26583 2 nf_nat_ftp,nf_nat_ipv4
nf_conntrack 139264 6 nf_nat_ftp,nf_nat,xt_state,nf_nat_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4
iptable_filter 12810 0
ip_tables 27126 2 iptable_filter,iptable_nat
libcrc32c 12644 3 xfs,nf_nat,nf_conntrack[rootweb01 ~]# lsmod |egrep nat|filter|ip
nf_nat_ftp 12809 0
nf_conntrack_ftp 18448 1 nf_nat_ftp
iptable_nat 12875 0
nf_nat_ipv4 14115 1 iptable_nat
nf_nat 26583 2 nf_nat_ftp,nf_nat_ipv4
ipt_REJECT 12541 0
nf_reject_ipv4 13373 1 ipt_REJECT
nf_conntrack_ipv4 19149 1
nf_defrag_ipv4 12729 1 nf_conntrack_ipv4
nf_conntrack 143411 7 nf_nat_ftp,nf_nat,xt_state,nf_nat_ipv4,xt_conntrack,nf_conntrack_ftp,nf_conntrack_ipv4
iptable_filter 12810 0
ip_tables 27126 2 iptable_filter,iptable_nat
libcrc32c 12644 3 xfs,nf_nat,nf_conntrack15.iptables命令使用
iptables -h table 表 chain 链 rule 规则
[rootweb01 ~]# iptables -h
iptables v1.4.21
Usage: iptables -[A] chain rule-specification [options] # 添加规则到链iptables -I chain [rulenum] rule-specification [options] # 插入规则到链iptables -D chain rulenum [options] # 根据规则号删除规则iptables -[FZ] [chain] [options] # 清除规则清除计数器iptables -[X] chain # 删除用户自定义的链。iptables -P chain target [options] # 针对链设置默认规则iptables -h # 帮助
Commands:
Either long or short options are allowed.--append -A chain # 添加规则到链--delete -D chain # 删除规则从链里--delete -D chain rulenum # 根据规则号删除--insert -I chain [rulenum] # 插入规则默认到第一条--list -L [chain [rulenum]] # 列表规则--flush -F [chain] # 清空所有规则--zero -Z [chain [rulenum]] # 计数器--policy -P chain target # 改默认规则Options:
--protocol -p proto # 针对协议过滤例如tcp
--source -s address[/mask][...] # 基于源地址
--destination -d address[/mask][...] # 基于目的地址
--in-interface -i input name[] # 指定进入接口
--jump -j target # 跳转
--numeric -n # 数字输出地址和端口
--out-interface -o output name[] # 指定出去接口
--table -t table # 指定表(default: filter)
--line-numbers # 显示规则号命令
iptables [-t table] -A chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -D chain rulenum #根据规则号删除。
iptables [-t table] -D chain rule-specification注释
-t # 指定表d(efault: filter)
-A #把规则添加到指定的链上默认添加到最后一行。
-I #插入规则到指定的链上默认插入到第一行(封IP)。
-D #删除链上的规则根据规则号删除
iptables -D INPUT 4 #4是规则号。
-F #清除一个链或所有链上的规则
-Z #链的记数器清零
-X #删除用户自定义的链。实践针对默认的表filter操作
[rootweb01 ~]# iptables -Z
[rootweb01 ~]# iptables -X
[rootweb01 ~]# iptables -F
[rootweb01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination Chain FORWARD (policy ACCEPT)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination 15.1 需求1禁止所有主机访问22端口
[rootweb02 ~]# iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
# 规则注释
-p #指定过滤的协议-ptcp,udp,icmp,all
--dport #指定目标端口用户请求的端口。
-j #对规则的具体处理方法ACCEPT,DROP,REJECT,SNAT,DNAT)
--sport #指定源端口。
# 恢复从虚拟机平台进入执行
[rootweb01 ~]# iptables -nL
[rootweb01 ~]# iptables -nL --line-numbers
[rootweb01 ~]# iptables -D INPUT 115.2 需求2禁止对10.0.0.1vnet8访问
[rootweb01 ~]# iptables -I INPUT -p tcp -s 10.0.0.1 -i eth0 -j DROP
[rootweb01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 10.0.0.1 0.0.0.0/0 ####增加的规则 取反
[rootweb01 ~]# iptables -A INPUT -p tcp ! -s 10.0.0.1 -i eth0 -j DROP
-s #指定源地址或网段10.0.0.0/24。 ! 取反。
-d #指定目的地址nat表prerouting。
-i #进入的网络接口eth0,eth1。
-o #出去的网络接口eth0,eth1。15.3 需求3只允许办公网的IP段访问服务器SSH。
iptables -I INPUT -p tcp -s 10.0.0.0/24 -i eth0 -j ACCEPT
iptables -I INPUT -p tcp -s 203.81.19.0/24 -i eth0 -j ACCEPT办公网地址10.0.0.0/24 所有机房公网局域网地址203.81.19.0/24
15.4 需求4封单个IP
iptables -I INPUT -p tcp -s 10.0.0.1 -j DROP为什么要封单个IP
[rootweb01 ~]# netstat -an|awk /^tcp/|grep -i est|wc -l
4
[rootweb01 ~]# netstat -an|awk /^tcp/|grep -i est|awk -F [: ] {print $6}|sort|uniq -c|head -10
4 10.0.0.1如果第一列连接数大于100把第二列封了 shell项目
匹配端口范围
iptables -I INPUT -p tcp -m multiport --dport 21,23,24,80,3306 -j DROP #同时封21,23,24,80,3306端口
iptables -I INPUT -p tcp --dport 23:8809 -j DROP ##从23端口到8809端口匹配ICMP类型
iptables -A INPUT -p icmp --icmp-type 8
iptables -A INPUT -p icmp --icmp-type 8 -j DROPICMP 链接: http://www.cnitblog.com/yang55xiaoguang/articles/59581.html
内核参数禁止PING
net.ipv4.icmp_echo_ignore_all015.5 需求5自己的人可以ping其他人不能ping
默认规则是禁止的
iptables -A INPUT -p icmp -s 192.168.1.0/24 --icmp-type 8 -j ACCEPT15.6 需求6让10.0.0.7和SSH客户端10.0.0.1服务器可以Ping其它的不能Ping
iptables -I INPUT -p icmp --icmp-type 8 -s 10.0.0.51 -j ACCEPT
iptables -I INPUT -p icmp ! -s 10.0.0.1 --icmp-type 8 -j DROP是有顺序的 匹配上 1.丢弃 2.通过
匹配网络状态
-m state --stateNEW已经或将启动新的连接ESTABLISHED已建立的连接RELATED正在启动的新连接INVALID非法或无法识别的 #允许关联的状态包ftp协议
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT限制指定时间包的允许通过数量及并发数
-m limit --limit n/{second/minute/hour}:指定时间内的请求速率n为速率后面为时间分别为秒、分、时
iptables -I INPUT -p icmp --icmp-type 8 -m limit --limit 6/min -j DROP–limit-burst [n] 在同一时间内允许通过的请求n为数字,不指定默认为5
iptables -I INPUT -s 10.0.0.0/24 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT链接: http://blog.csdn.net/gnicky/article/details/51334793
16. 企业级防护墙项目部署一个最安全的企业级防火墙案例
1两种思想针对默认规则而言。 逛公园黑名单 #部署企业网关 1、默认规则默认是允许的状态。 2、看谁不顺眼禁止。
看电影白名单 更安全。 主机防火墙 1、默认规则默认是不允许的状态。 2、看谁顺眼让他通过。
看电影的思想更安全。部署主机防火墙 清一色看电影模式。 部署主机防火墙默认禁止模式
实战部署 1各种清零
[rootweb02 ~]# iptables -F
[rootweb02 ~]# iptables -X
[rootweb02 ~]# iptables -Z2允许自己的网段及22端口通过。
[rootweb02 ~]# iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
[rootweb02 ~]# iptables -A INPUT -s 203.81.18.0/24 --dport 22 -j ACCEPT
[rootweb02 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT ##演示工作不用。3设置默认规则
[rootweb02 ~]# iptables -P INPUT DROP
[rootweb02 ~]# iptables -P FORWARD DROP
[rootweb02 ~]# iptables -P OUTPUT ACCEPT
[rootweb01 ~]# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 10.0.0.0/24 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22Chain FORWARD (policy DROP)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination 4)设置其他允许
[rootweb02 ~]# iptables -A INPUT -i lo -j ACCEPT
[rootweb02 ~]# iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
[rootweb02 ~]# iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
[rootweb02 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT到目前为止所有的操作都只在内存中生效。
操作过的命令集合
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -s 203.81.18.0/24 --dport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -nL
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -p icmp -s 10.0.0.0/24 -m icmp --icmp-type any -j ACCEPT
iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT扫描测试最佳方法使用云主机部署用笔记本虚拟机扫描
[rootdb01 ~]# nmap 10.0.0.7 -p 1-10000
Starting Nmap 6.40 ( http://nmap.org ) at 2021-08-05 18:15 CST
Nmap scan report for 10.0.0.7
Host is up (0.00020s latency).
Not shown: 9996 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
3306/tcp open mysql
MAC Address: 00:0C:29:16:5F:D9 (VMware)永久生效/etc/sysconfig/iptables
[rootweb01 ~]# iptables-save /etc/sysconfig/iptables
[rootweb01 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21 on Thu Aug 5 18:21:28 2021
*nat
:PREROUTING ACCEPT [14048:622306]
:INPUT ACCEPT [10215:450635]
:OUTPUT ACCEPT [59:4581]
:POSTROUTING ACCEPT [59:4581]
COMMIT
# Completed on Thu Aug 5 18:21:28 2021
# Generated by iptables-save v1.4.21 on Thu Aug 5 18:21:28 2021
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [85:6676]
-A INPUT -s 10.0.0.0/24 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 172.16.1.0/24 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Aug 5 18:21:28 202117. 生产场景维护iptables
封掉一个IP封掉端口 1、日常改/etc/sysconfig/iptables配置添加到你想要的位置永久生效
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
#封掉规则要放在里面其他允许规则的上面才能生效。
#允许规则要放在里面其他允许规则上面才能生效。
#重新加载systemctl reload iptables2、临时封Ip-I重启就没了。
iptables -I INPUT -s 203.71.78.10 -j DROP3、常用的规则放在前面生效 把防火墙规则写成脚本
#!/bin/bash
#this is a server firewall created by oldboy 17:03 2006-7-26
#updated by oldboy on 10:30 2009-6-23
#http://blog.etiantian.org
#qq:49000448
#define variable PATH
IPT/sbin/iptables#Remove any existing rules
$IPT -F
$IPT -X
$IPT -Z#setting default firewall policy
$IPT --policy OUTPUT ACCEPT
$IPT --policy FORWARD DROP
$IPT -P INPUT DROP#setting for loopback interface
$IPT -A INPUT -i lo -j ACCEPT#setting access rules
#one,ip access rules,allow all the ips of
$IPT -A INPUT -s 202.81.17.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 202.81.18.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
$IPT -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT#icmp
$IPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT#others RELATED
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT重点 1、iptables包过滤流程。 2、iptables4表5链作用和关系。 3、iptables工作原理4表5链。 4、iptables常用命令参数。 5、部署一个企业级主机防火墙案例。
?? 此时其它表和链什么状态
部署iptables防火墙的最高境界 不用防火墙服务器照样安全。 1、尽可能不给服务器配置外网IP。可以通过代理转发或者通过防火墙映射。 2、并发不是特别大情况再外网IP的环境要开启iptables防火墙。 如果并发量很大不能开iptables影响性能买硬件防火墙。 其他链接: http://edu.51cto.com/course/course_id-772.html
